産総研とCSSC、装着するだけでデータをマルウェアから防御する装置

　独立行政法人産業技術総合研究所(産総研)と、技術研究組合制御システムセキュリティセンター(CSSC)は14日、PCやサーバーに装着するだけで、重要データやシステムファイルなどの改竄を検知/防御するセキュリティバリアデバイス(SBD)を共同開発したと発表した。

　SBDは、SATAポートとHDDなど、システムのI/Oポートと周辺機器の間を中継させる形で差し込むだけで、OSの種類を問わず、デバイスドライバなどソフトのインストールを行なわないでも機能する。SBDには、システムストレージのオリジナルデータブロックへのアクセス可否情報が保存されており、システムからストレージへデータアクセスの要求があると、そのアクセス可否情報が参照され、SBDは、読み出しが禁止されていれば、0などのダミーデータを返し、書き込みが禁止されていれば、書き込みを行なわない。

　SBDでは、読み出したセクターの内容を、SBDが書き込むセクターの内容とバイト単位で比較し、同一内容であれば書き換えなし、異なれば書き換えありとの判断をFPGAで行ない、物理的には512Byteのセクター単位となるディスクのアクセス単位をバイト単位にする拡張を行ない、バイト単位のデータ保護を実現した。

　また、データブロック単位のアクセス制御を拡張し、ファイル単位のアクセス制御を実現したほか、アクセス違反を検出すると同時に、Ethernetなど外部通信を遮断することもできる。

　SBDを用いることで、ハードウェアの性能が限られていて、セキュリティソフトの導入が困難な制御システムや、可用性の問題からセキュリティパッチをあてずに運用しているシステムはもちろんのこと、ゼロデイ攻撃からもシステムを防御することができる。従来、パーティション単位での保護やファイルを保護領域に移動させるものはあったが、システムストレージに全く手を加えず、ファイルやデータブロックを自由に指定して防御できるのは、これが初めてという。

　今回のSBDは、NTFSに対応したものだが、EXTおよびFATについても近日中に対応予定で、USBやHDMIなども中継し、防御強化も行なっていく。また、今回のシステムは、専用に開発したFPGAボードが10×23cmの大きさであるため、SBD全体は丸々PC 1台の構成/サイズとなっているが、今後は一般的なストレージと同一サイズのSBDストレージを、ストレージメーカーと連携して開発していく予定という。

SBD装着実体図

SBDのデータ保護機能の動作方式